<!DOCTYPE html>
<html>
<head>
    <title>XSS考试页面</title>
</head>
<body>
<h1>ni de ming zi</h1>
<form id="nameForm">
    <input type="text" id="nameInput" />
    <button type="submit">submit</button>
</form>
<div id="greeting"></div>

<script>
    document.getElementById('nameForm').onsubmit = function(event) {
        event.preventDefault();
        var name = document.getElementById('nameInput').value;
        // 注意，在XSS考试中，我们需要对输入的数据进行转义
        // <a href="www.baidu.com">电信网站</a>
        // 防御思路：
        // 过滤html或者js代码，只保留需要的字符串
        // 把html或者js代码，替换成不让浏览器是别的字符串
        //
        name = name.replace(/&/g, "&amp;").replace(/</g, "&lt;").replace(/>/g, "&gt;").replace(/"/g, "&quot;");
        document.getElementById('greeting').innerHTML = 'hello: ' + name + '!';
    };
</script>
</body>
</html>
